Дополнительные меры защиты
Дополнительные меры защиты
Кроме положений о защите данных, конфиденциальности и безопасности на веб-сайте, провайдеры услуг должны требовать внедрения на прикладном уровне размещаемых в их сетях веб-сайтов пакета мер защиты, базирующихся на передовом опыте, до введения этих веб-сайтов в действие. Это должно включать, в том числе, следующее:
Руководящие указания по практике разработки защищенных веб-сайтов и кодирования веб страниц, включая:
ii) защищенную обработку cookie-файлов;
iii) защищенную проверку и обработку входных данных для предотвращения типичной атаки, такой как "внедрение оператора sql" (SQL-injection);
iv) защищенное написание сценариев веб-страницы для предотвращения типичной атаки, такой как "межсайтовое выполнение сценариев" (cross-site scripting); и
v) анализ и испытание безопасности кодов. В качестве части инфраструктуры веб-хостинга операторы связи должны приниматься такописанные далее меры обеспечения безопасности для защиты веб-серверов от несанкционированного доступа и опасности размещения вредоносного контента, такого как вводящее в заблуждение и шпионское программное обеспечение:
Конфигурирование веб-сервера, включая базовые операционные системы, в соответствии с руководством по конфигурации основных элементов системы защиты. Принцип такого конфигурирования должен предусматривать надлежащее определение пользователей веб-сервера в сравнении с администратором, внедрение средств управления программными и системными директориями и файлам и разрешение ведения контрольного журнала, в частности для регистрации случаев нарушения безопасности и других случаев отказоы и неисправностей в системе;
Реализация системы, предназначенной для испытания и внедрения обновлений средств защиты, а также для обеспечения своевременной актуализации операционной системы и приложений веб-сервера при появлении новых обновлений средств защиты;
Мониторинг эффективности защиты веб-сервера путем периодического анализа контрольных журналов;
Функционирование антивирусного и антишпионского программного обеспечения на сервере;
Регулярное сканирование всего размещаемого и загружаемого контента с использованием обновленных определений, признавая, что файл может представлять собой шпионское или вводящее в заблуждение ПО, даже если это не выявлено с помощью действующих определений вследствие ограничений, создаваемых неточной информацией;
Ввыполнение регулярных тестов на защиту от несанкционированного доступа для веб-сайтов для обеспечения того, что поддерживается адекватный уровень защиты и что он не был нарушен.
Для того чтобы обеспечить возможность контроля этих мер безопасности, особенно мер, касающихся защищенности веб-сревера, операторы связи должны предусмотреть включение соответствующих положений в соглашения об обслуживании.
Читать статью "Борьба с рисками шпионского ПО" далее
Риски шпонского ПО
Обзор рисков
Цели обеспечения безопасности
Руководящие принципы защиты
Предоставление безопасных материалов
Мониторинг сети и ответные меры
Требования к безопасности веб-хостинга
Дополнительные меры защиты
Безопасность для пользователей
Технические меры обеспечения безопасности